Реклама на сайте Advertise with us

По поводу всей это беготни с masster-x и antipioner

Расширенный поиск по форуму
 
Новая тема Новая тема   
Автор
Поиск в теме:



С нами с 11.03.03
Сообщения: 421
Рейтинг: 105

Ссылка на сообщениеДобавлено: 09/10/06 в 22:00       Ответить с цитатойцитата 

Xen писал:
Можно глянуть моим антиспаем, один хрен он работает через драйвер ядра и ему по барабану политики безопасности ;)

у меня нашлись 2 файла из списка указанным антиспаем и благополучно удалены, за час до этого касперски нашел один файлик после скачивания свежих баз...

0
 

www.awm-tools.com

С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056


Передовик Master-X (01.01.2006) Передовик Master-X (16.01.2006) Передовик Master-X (01.03.2006)
Ссылка на сообщениеДобавлено: 09/10/06 в 22:02       Ответить с цитатойцитата 

Домен updates-microsoft.com засуспендили.
Главное теперь чтобы его никто не перехватил и не сделал там свою какашку.
Но ближайшие несколько дней народ может спать спокойно. И я пойду спать icon_smile.gif

Засабмить свой вебмастерский ресурс, получи PR!

0
 

www.awm-tools.com

С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056


Передовик Master-X (01.01.2006) Передовик Master-X (16.01.2006) Передовик Master-X (01.03.2006)
Ссылка на сообщениеДобавлено: 09/10/06 в 22:03       Ответить с цитатойцитата 

trankimaza писал:
to A d u l t
big respect!!!
ps. Насколько всё вышеперечисленное актуально для 98 винды?

Вроде совсем неактуально...

Засабмить свой вебмастерский ресурс, получи PR!

0
 



С нами с 02.03.06
Сообщения: 6461
Рейтинг: 889


Передовик Master-X (16.06.2017) Передовик Master-X (01.07.2017) Передовик Master-X (16.07.2017)
Ссылка на сообщениеДобавлено: 09/10/06 в 22:54       Ответить с цитатойцитата 

в общем чудеса продолжаются-только что AMON NOD словил это чудо-C:\System Volume Information\_restore{9B95298B-DA88-402B-8B93-27A7414678E7}\RP89\A0022120.exe вероятно неизвестный NewHeur_PE вирус изолирован - удален NT AUTHORITY\SYSTEM Событие в новом файле, созданном приложением C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин.
зы попытка зайти в папку System Volume Information-отказано в доступе

Последний раз редактировалось: VESTAL (09/10/06 в 22:56), всего редактировалось 1 раз

0
 

1К13!

С нами с 07.05.04
Сообщения: 7721
Рейтинг: 2428

Ссылка на сообщениеДобавлено: 09/10/06 в 22:56       Ответить с цитатойцитата 

Адалт молодец, spamhunter прямо )

Talitha kumi!

0
 



С нами с 29.10.04
Сообщения: 834
Рейтинг: 281

Ссылка на сообщениеДобавлено: 10/10/06 в 01:12       Ответить с цитатойцитата 

A d u l t, большое тебе спасибо за то, что ты делаешь
smail104.gif
(сорри за боян)

0
 

www.awm-tools.com

С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056


Передовик Master-X (01.01.2006) Передовик Master-X (16.01.2006) Передовик Master-X (01.03.2006)
Ссылка на сообщениеДобавлено: 10/10/06 в 12:38       Ответить с цитатойцитата 

С hxxp://windows.updates-microsoft.com/6248x1-248Q9297/ редиректит на мастер. Это нормально или я что-то упустил?

Засабмить свой вебмастерский ресурс, получи PR!

0
 

www.awm-tools.com

С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056


Передовик Master-X (01.01.2006) Передовик Master-X (16.01.2006) Передовик Master-X (01.03.2006)
Ссылка на сообщениеДобавлено: 10/10/06 в 13:24       Ответить с цитатойцитата 

Лекарство готово !!!
Всем тем, кто заходил на masster или запускал antipioner.exe необходимо проделать вышеперечисленные действия как можно быстрее!

Создать файл cure.reg со следующим содержимым:
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy]
"DLLName"=""

Затем сохранить его, далее запустить, на вопрос внесения изменений ответить утвердительно и тут же перезагрузиться. Те, у кого система была поражена, загрузка будет происходить долго. Почему долго - читайте историю ниже.

После того, как система загрузится, идем в реестр (запускам regedit.exe) и удаляем ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy
и
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX

Теперь лезем в папку windows\system32 и ищем там файлы:
wsp1update.*
dnsapi32xbt.*
wsp2update.*
winupdate.*
_xxx_.*
и возможно kernel8.*
Если находим, то удаляем их.
После всего этого ищем эти же файлы по всей системе и тоже их удаляем, если находим.

А теперь история развития событий:
1. С помощью рассылки злоумышленник сажает всем на компьютер некий DLL файл, который прописывается в ветке реестра
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy.
Вся хитрость состоит в том, что в ветке реестра SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
прописываются *.dll файлы, которые должны загружаться программой winlogon.exe С помощью этой программы осуществляется вход под логином и паролем в систему.
2. Мы все узнаем об этом и вытираем эту ветку реестра и файлы с системы.
3. Злоумышленик улучшает троян - он добавляет в него модуль невидимости и выкладывает его в виде средства для удаления трояна. Этот модуль внедряется в Api Windows и запрещает нам видеть вышеперечисленные файлы в файловой системе и вышеперечисленные ключи в реестре. Тем самым якобы antipioner.exe действительно удаляет все файлы и ключи реестра, однако на самом деле он их маскирует.

Принцип действия лекарства:
Каждый раз, когда жертва логинится в систему, вместе с программой winlogon.exe подгружается вредоносный модуль. Даже когда мы загружаем систему в safe-mode режиме, все равно мы логинимся, а как следствие - запускается опять вредоносный модуль, который скрывыет от нас файлы и ключи в реестре даже в защищенном режиме. Вышеобозначенный файл cure.reg заменяет имя запускаемого *.dll файла на пустое. В результате после перезагрузки система не может загрузить вредоносный *.dll файл и немного подтормаживает при загрузке. Таким образом мы загружаем систему без запущенного вредоносного файла и опа - мы видим вредоносные ключи реестра и сами вредоносные файлы.

PS: Народ, просьба всем отписываться о результатах в этом топике.

Засабмить свой вебмастерский ресурс, получи PR!

0
 

www.awm-tools.com

С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056


Передовик Master-X (01.01.2006) Передовик Master-X (16.01.2006) Передовик Master-X (01.03.2006)
Ссылка на сообщениеДобавлено: 10/10/06 в 14:15       Ответить с цитатойцитата 

Странно - что-то никто ничего не пишет... Не уж то у всех винда слетела после моего reg-файла?

Шучу icon_smile.gif У меня на тестовой машине все прошло удачно.

Засабмить свой вебмастерский ресурс, получи PR!

0
 



С нами с 04.03.05
Сообщения: 43
Рейтинг: 63

Ссылка на сообщениеДобавлено: 10/10/06 в 14:33       Ответить с цитатойцитата 

Привет!
расскажу свою историю...
я тоже кликнул, затем все зависло...
потом(как ты сказал) посмотрел папку windows\system32 , там нашел файл файл winupdate.dll,
но он не удалялся даже в сейф моде.... короче забил....
а на следующий день там в system32 появился и wsp2update... но эти 2 файла слехкостью удалились и даже winupdate.dll
Антипионером не пользовался.... слишком мне странно это показалось.... вот
Но осталась проблема.... комп долго грузился, вернее основная загрузка проходила нормально, а
долго грузилось когда при входе в систему вводиш пароль и ентер... вот тогда да... приходилось ждать несколько минут...

СОЗДАЛ cure.reg как ты сказал... перезагрузил
и хоть ты сказал что должен грузится долго, у меня на удивление комп перезагрузился очень быстро, даже сам удивился и
залогинился быстро, несколько секунд....в реестре ту херню тоже удалиил...
Тех файлов больше не находил... вот ...
ADULT , спасибо...

0
 
+


С нами с 30.07.06
Сообщения: 65
Рейтинг: 1

Ссылка на сообщениеДобавлено: 10/10/06 в 14:36       Ответить с цитатойцитата 

Хмм, у меня уже немного параноя,.. но ты как нибудь мог бы доказать что ты хороший а не мальчиш-плохиш. Ведь антипионер тоже предлагал действия от излечения - но в итоге натянул еще Х людей на заразу.

0
 
+


С нами с 30.07.06
Сообщения: 65
Рейтинг: 1

Ссылка на сообщениеДобавлено: 10/10/06 в 14:38       Ответить с цитатойцитата 

Вообще лучше дать это гавно на исследование профессионалам, скажем людям из DrWeb - это их работа. Может поговоришь с ними, Адулт?

0
 



С нами с 28.02.06
Сообщения: 44

Ссылка на сообщениеДобавлено: 10/10/06 в 14:45       Ответить с цитатойцитата 

А разве для этого нужны специальные связи?
Я вот например еще вчера им отослал образец для ковыряния. icon_smile.gif
Пока правда не ответили, хотя обычно буквально за несколько часов разбирают и добавляют лекарство в текущую базу. Я им так уже 4 вируса раньше сдавал.

0
 

www.awm-tools.com

С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056


Передовик Master-X (01.01.2006) Передовик Master-X (16.01.2006) Передовик Master-X (01.03.2006)
Ссылка на сообщениеДобавлено: 10/10/06 в 14:57       Ответить с цитатойцитата 

moniker4 писал:
Хмм, у меня уже немного параноя,.. но ты как нибудь мог бы доказать что ты хороший а не мальчиш-плохиш.

С радостью, но как? Могу выложить что-нить на мой хост adult-inc.biz в подтверждение... Только мало кто знает, что это мой хост...

Засабмить свой вебмастерский ресурс, получи PR!

0
 

www.awm-tools.com

С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056


Передовик Master-X (01.01.2006) Передовик Master-X (16.01.2006) Передовик Master-X (01.03.2006)
Ссылка на сообщениеДобавлено: 10/10/06 в 15:10       Ответить с цитатойцитата 

moniker4 писал:
Вообще лучше дать это гавно на исследование профессионалам, скажем людям из DrWeb - это их работа. Может поговоришь с ними, Адулт?

Ты не считаешь меня за профессионала? icon_smile.gif

Засабмить свой вебмастерский ресурс, получи PR!

0
 

Web Дизайн Сервис

С нами с 08.06.04
Сообщения: 21738
Рейтинг: 2248

Ссылка на сообщениеДобавлено: 10/10/06 в 15:21       Ответить с цитатойцитата 

у меня было так:
попал на masster-x
ишак повис. закрыл окно. понял неёбку.

НЕ запуская никаких антипионеров стал искать вышеперечисленные файлы - нету. стал искать параметры в реестре - тоже там пусто.

есть ли смысл лечиться мне?..

Графический дизайн! | Шаблоны CJ-tube!
tg: @Denzikzt | Den.evilin@gmail.com | Хостюсь тут 13 лет!

0
 

Денежных дел мастер

С нами с 03.10.04
Сообщения: 2573
Рейтинг: 1436

Ссылка на сообщениеДобавлено: 10/10/06 в 15:27       Ответить с цитатойцитата 

сорри за глупый вопрос
файл создавать какого расширения?

0
 

• HandMade Design •

С нами с 12.07.04
Сообщения: 891
Рейтинг: 328

Ссылка на сообщениеДобавлено: 10/10/06 в 15:32       Ответить с цитатойцитата 

у меня такая же история как у Evilin:
и тот же вопрос: нужно ли мне лечиться?

INTELigent: там же написано: создать файл cure.reg
тоесть расширение reg

Дизайнер на пенсии

0
 

www.awm-tools.com

С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056


Передовик Master-X (01.01.2006) Передовик Master-X (16.01.2006) Передовик Master-X (01.03.2006)
Ссылка на сообщениеДобавлено: 10/10/06 в 15:37       Ответить с цитатойцитата 

Evilin писал:
у меня было так:
попал на masster-x
ишак повис. закрыл окно. понял неёбку.
НЕ запуская никаких антипионеров стал искать вышеперечисленные файлы - нету. стал искать параметры в реестре - тоже там пусто.
есть ли смысл лечиться мне?..


2 ваиранта:
Либо експлоит некорректно отработал, либо установилась новая версия загрузчика, которая скрывается.

Чтобы проверить, инфицирован ли комп, надо залезть в реестр в ветку
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
и посмотреть там раздел wscntfy
Если установлена версия загрузчика трояна с модулем сокрытия, то в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
надо попытастся создать раздел wscntfy
(Абсолютный путь раздела будет
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy).
Если раздел создался - значит Вы не инфицированы, если при создании раздела вылезло сообщение от regedit о том, что такой раздел существует, однако вы его там не видите - это значит что Вы инфицированы загрузчиком трояна с модулем сокрытия.

Засабмить свой вебмастерский ресурс, получи PR!

0
 



С нами с 14.10.05
Сообщения: 324
Рейтинг: 127

Ссылка на сообщениеДобавлено: 10/10/06 в 15:53       Ответить с цитатойцитата 

Хм, странно... кликнул на линку в письме, ИЕ вылетел с ошибкой, но ни файлов, ни ключей в реестре нет. Сейчас попробовал создать раздел wscntfy - это удалось. Получается я не инфицирован?

зы: на линку нажал сразу по приходу письма, т.е. около 8 утра, вот подумалось, может там в это время какая-то иная модификация экспа лежала, либо он просто некорректно отработал, как сказал Adult...

Но, в любом случае, огромный тебе респект Adult за то, что делаешь благое дело!

Не откладывай на завтра то, что можно сделать послезавтра...

0
 

Web Дизайн Сервис

С нами с 08.06.04
Сообщения: 21738
Рейтинг: 2248

Ссылка на сообщениеДобавлено: 10/10/06 в 15:59       Ответить с цитатойцитата 

создал раздел в реестре. никаких мессаг. я думаю меня пронесло.

в любом случае глубокая уважуха Adult'у.

Графический дизайн! | Шаблоны CJ-tube!
tg: @Denzikzt | Den.evilin@gmail.com | Хостюсь тут 13 лет!

0
 



С нами с 18.04.02
Сообщения: 520
Рейтинг: 261

Ссылка на сообщениеДобавлено: 10/10/06 в 16:07       Ответить с цитатойцитата 

мне так показалось что я тоже нажал на линку но вовремя заметил что домен не тот и ничего не поставилось мне. После чего я подумал может была просто сделана проверка на активность акка, будут ли нажимать на ссылку и тп.

вот, спустя какое то время мне пришло снова письмо но только на тот акк с которого я нажал на ссылку и не успел троян сработать или еще чего. Этого я так понимаю на данный момен не знает ни кто кроме одного человека.

Вот сижу и думаю, поставилось мне что то или все таки чист я. icon_sad.gif

PS. Все что писал Adult я проверил и ничего не нащел.

0
 

www.awm-tools.com

С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056


Передовик Master-X (01.01.2006) Передовик Master-X (16.01.2006) Передовик Master-X (01.03.2006)
Ссылка на сообщениеДобавлено: 10/10/06 в 16:10       Ответить с цитатойцитата 

SmoG писал:
Хм, странно... кликнул на линку в письме, ИЕ вылетел с ошибкой, но ни файлов, ни ключей в реестре нет. Сейчас попробовал создать раздел wscntfy - это удалось. Получается я не инфицирован?

Получается, что не инфицирован. Однако я не могу утверждать это на 100%. Злоумышленник мог изменить ключ реестра wscntfy на какой-нибудь другой, хотя я этого не встречал.

Чтобы проверить этот вариант - берем программу Process Explorer (www.sysinternals.com), запускаем. В меню выбираем Find -> Find DLL
в строке поиска по очереди вводим и ищем такие фразы: wsp1 wsp2 winup A37

Если находится какой-нибудь dll файл, привязанный к процессу winlogon.exe, то скорее всего это этот вирус. Предварительно имя найденой DLL выкладываем сюда и консультируемся со мной.

PS: Всем советую прогу Process Explorer, так как она реально показывает стоющую информацию о процессах, творящихся в системе.
Тоесть какие процессы запущены, какие DLL файлы они используют, открывают ли socket-соединения и т.д.
Вообщем must have

Засабмить свой вебмастерский ресурс, получи PR!

0
 

www.awm-tools.com

С нами с 28.01.04
Сообщения: 2941
Рейтинг: 3056


Передовик Master-X (01.01.2006) Передовик Master-X (16.01.2006) Передовик Master-X (01.03.2006)
Ссылка на сообщениеДобавлено: 10/10/06 в 16:12       Ответить с цитатойцитата 

Сейчас почему-то слетела сессия с форумом.
Либо Sortunity что-то ковыряет в форуме, либо пионер пытается от меня постить. Так что ахтунг.
Относитесь поаккуратнее к моим постам.
Или просто паранойя...

Последний раз редактировалось: A d u l t (10/10/06 в 16:25), всего редактировалось 1 раз

Засабмить свой вебмастерский ресурс, получи PR!

0
 



С нами с 02.03.06
Сообщения: 6461
Рейтинг: 889


Передовик Master-X (16.06.2017) Передовик Master-X (01.07.2017) Передовик Master-X (16.07.2017)
Ссылка на сообщениеДобавлено: 10/10/06 в 16:25       Ответить с цитатойцитата 

В общем так. Сделала всё как ты уважаемый Adult написал. После запуска и перезагрузки .reg смотрю реестр-ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wscntfy -удаляю
ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\GreA3752DX-такой нет,
даее ищу все файлы виндовской искалкой и той, что ты вчера рекомендовал-ничего нет.
Запускаю Process Explorer-ищу фразы wsp1 wsp2 winup A37, на поиск A37 он мне выдаёт-процесс services.exe, тип- handle, handle or DLL-\BaseNamedObjects\SvcctrlStartEvent_A3752DX
Это оно? И что с ним делать?

0
 
Новая тема Новая тема   

Текстовая реклама в форме ответа
Заголовок и до четырех строчек текста
Длина текста до 350 символов
Купить рекламу в этом месте!


Перейти:  



Спонсор сайта

Реклама на сайте Advertise with us

Опросы

Рецепт новогоднего блюда 2022



Обсудите на форуме обсудить (11)
все опросы »